openclaw-ansible 仓库是 Ansible 部署的权威来源。本页是快速概览。
前提条件
| 要求 | 详情 |
|---|---|
| 操作系统 | Debian 11+ 或 Ubuntu 20.04+ |
| 访问权限 | Root 或 sudo 权限 |
| 网络 | 用于安装软件包的互联网连接 |
| Ansible | 2.14+(由快速开始脚本自动安装) |
你将获得什么
- 防火墙优先的安全性:UFW + Docker 隔离(只有 SSH + Tailscale 可访问)
- Tailscale VPN 用于远程访问,无需公开暴露服务
- Docker 用于带有仅 localhost 绑定的隔离沙箱容器
- 带加固的 systemd 集成,启动时自动运行
- 一条命令完成设置
快速开始
会安装什么
- Tailscale(用于安全远程访问的网状 VPN)
- UFW 防火墙(仅 SSH + Tailscale 端口)
- Docker CE + Compose V2(默认智能体沙箱后端)
- Node.js 和 pnpm(OpenClaw 需要 Node 22.19+ 或 23.11+;推荐 Node 24)
- OpenClaw,以主机方式安装,而不是容器化
- 带安全加固的 systemd 服务
Gateway 网关直接在主机上运行,不在 Docker 中运行。智能体沙箱隔离是
可选的;此 playbook 安装 Docker,因为它是默认沙箱
后端。其他后端请参阅 沙箱隔离。
安装后设置
快速命令
安全架构
四层防御模型:- 防火墙(UFW):只有 SSH(22)和 Tailscale(41641/udp)公开暴露
- VPN(Tailscale):Gateway 网关只能通过 VPN 网状网络访问
- Docker 隔离:
DOCKER-USERiptables 链防止外部端口暴露 - Systemd 加固:
NoNewPrivileges、PrivateTmp、非特权用户
手动安装
更新
Ansible 安装器会为 OpenClaw 设置手动更新;标准流程请参阅 更新。 重新运行 playbook(例如,在配置更改后):故障排查
Firewall blocks my connection
Firewall blocks my connection
- 先通过 Tailscale VPN 连接;Gateway 网关按设计只能通过这种方式访问。
- SSH(端口 22)始终允许。
Service will not start
Service will not start
Docker sandbox issues
Docker sandbox issues
Channel login fails
Channel login fails
确保你正以
openclaw 用户身份运行:高级配置
有关详细的安全架构和故障排查,请参阅 openclaw-ansible 仓库:相关内容
- openclaw-ansible:完整部署指南
- Docker:容器化 Gateway 网关设置
- 沙箱隔离:智能体沙箱配置
- 多 Agent 沙盒和工具:按 Agent 隔离